ある企業のセキュリティチームが「Microsoft Entra ID(旧 Azure AD)の条件付きアクセス(Conditional Access)」を設定しようとしている。条件付きアクセスポリシーを使って実現できることとして最も適切な説明はどれか。
- A. パスワードを定期的に強制変更させる
- B. すべてのユーザーに同一の権限を付与してアクセス管理を統一する
- C. ユーザーの場所・デバイスのコンプライアンス状態・サインインリスクなどの条件に基づいてアクセスを許可・拒否・多要素認証(MFA)を要求する
- D. ユーザーが使用するデバイスのOSに自動的にパッチを適用する
解答と解説を見る
正解: C
条件付きアクセスはMicrosoft Entra IDの高度なアクセス制御機能で、「ユーザーが特定のアプリにアクセスする時に、ユーザーの場所(IPアドレス/国)・デバイスの状態(Intuneコンプライアンス準拠済みか)・サインインリスク(ユーザー/サインイン)・アプリの種類」などの条件を評価し、アクセス許可・ブロック・MFA要求・準拠デバイス必須などのアクセス制御を動的に適用できる。選択肢Dのデバイスへのパッチ適用はMicrosoft Intuneなどのデバイス管理(MDM)の機能であり、条件付きアクセスとは別機能。選択肢Aのパスワード定期変更はEntra IDのパスワードポリシー設定で行い、条件付きアクセスの機能ではない。選択肢Bのすべてのユーザーへの同一権限付与は最小権限の原則に反し、条件付きアクセスが達成しようとすることと真逆の設定である。